Microsoft ‘ Active Directory ’ 애플리케이션 온보딩

온라인에서 편집하기

사용자를 로컬 환경의 VerifyActive Directory 로 마이그레이션합니다.

시작하기 전에

프로시저

  1. Verify에서 관리자 계정으로 로그인하세요.
  2. ‘애플리케이션’ > ‘애플리케이션’을 선택한 다음 ‘애플리케이션 추가’를 클릭합니다.
  3. ‘애플리케이션 유형 선택’ 팝업 창에서 ‘Microsoft™ Active Directory ’을 검색한 후, ‘Microsoft Active Directory ’ 유형의 애플리케이션을 생성하도록 선택합니다.
  4. 팝업 창에서 ‘애플리케이션 추가’를 클릭하세요.
  5. ‘애플리케이션 추가’ 페이지에서 ‘일반’ 탭을 선택하고 필요한 세부 정보를 입력하십시오.
    참고: ‘로그인’ 탭은 ‘ Active Directory ’ 유형의 애플리케이션에는 적용되지 않으므로 사용할 수 없습니다.
  6. ‘계정 수명 주기’ 탭을 선택합니다.
  7. 프로비저닝 및 디프로비저닝 정책을 지정하십시오.
    매개변수 설명
    계정 프로비저닝

    프로비저닝 계정은 기본적으로 사용 안함이며, 이는 계정 작성이 IBM Verify 외부에서 수행됨을 의미합니다.

    인타이틀먼트가 사용자에게 지정될 때 계정을 자동으로 프로비저닝하려면 사용 옵션을 선택하십시오. 비밀번호 생성 및 이메일 알림 기능은 IBM Verify을(를) 사용하여 작성된 계정에 사용할 수 있습니다.
    계정 디프로비저닝

    디프로비저닝 계정은 기본적으로 사용 안함이며, 이는 계정 제거가 IBM Verify 외부에서 수행됨을 의미합니다.

    사용자에서 인타이틀먼트가 제거될 때 계정을 자동으로 디프로비저닝하려면 사용 옵션을 선택하십시오.
    계정 비밀번호
    동기화 사용자의 Cloud Directory 비밀번호
    이 옵션은 클라우드 디렉토리에서 비밀번호 동기화가 사용 가능한 경우에 사용할 수 있습니다. 일반 사용자가 애플리케이션에 프로비저닝되면 클라우드 디렉토리 비밀번호를 사용합니다. 연합 사용자는 애플리케이션에 프로비저닝될 때 생성된 비밀번호를 수신합니다.
    비밀번호 생성
    이 옵션은 프로비저닝된 계정에 대해 무작위 비밀번호를 생성합니다. 비밀번호는 클라우드 디렉토리 비밀번호 정책을 기반으로 합니다.
    없음
    이 옵션은 비밀번호가 없는 계정을 프로비저닝합니다.
    이메일 알림 전송 이 옵션은 비밀번호 생성 옵션을 선택할 때 사용 가능합니다. 이메일 알림 보내기 옵션을 선택하면 계정이 프로비저닝된 후 자동 생성된 비밀번호가 포함된 이메일 알림이 이메일 주소로 전송됩니다.
    유예 기간(grace period)(일) 디프로비저닝된 계정이 영구적으로 삭제되기 전에 일시중단된 상태로 유지되는 유예 기간을 일 단위로 설정하십시오.
    디프로비저닝 조치 계정을 삭제하십시오. 이 필드는 디프로비저닝 계정 필드가 사용 가능한 경우에만 사용 가능합니다.
  8. ‘일반 ’ 섹션에서 드롭다운 메뉴에서 ‘애플리케이션 프로필’을 선택합니다. 프로파일이 존재하지 않는 경우 새로 작성해야 합니다. 자세한 내용은 ‘ID 어댑터 애플리케이션 프로필 관리’를 참조하십시오.
  9. API 인증 세부사항을 지정하십시오.
    • URL: 온프레미스에 Active Directory로 설치된 어댑터 에이전트의 URL입니다. 예: http://<Adapter_host>:<adapter_port>
    • 사용자 ID: 온프레미스 Active Directory 어댑터의 사용자 ID입니다. (에이전트)
    • 비밀번호: 온프레미스 Active Directory 어댑터의 비밀번호입니다. (에이전트)
  10. 브리지 정보를 Verify 입력해 주세요.
    Verify 사용자 인터페이스를 통해 구성 단계에서 생성한 ID 에이전트를 Verify 연결하십시오.
  11. 선택 사항: 대상 정보를 지정합니다.
    • Users base Point base DN:
    • Groups base Point DN:
    참고: Active Directory 그룹 개체의 DN을 지정하십시오. cn=CSantana,cn=Users,dc=Company,dc=com이름은 CSantana이고, 도메인 이름은 Company.com 인 도메인의 컨테이너에 cn=Users 객체가 저장된 사용자의 DN 예시는 입니다.
    값을 다음과 같이 설정하십시오.
    User base DN: cn=Users,dc=Company,dc=com
Group base DN: CN=Users,dc=Company,dc=com
  12. ‘연결 테스트’를 클릭하여 온프레미스 Active Directory 어댑터와의 연결을 테스트하십시오.
    Active Directory 애플리케이션에서 계정을 조정하거나 프로비저닝하려면 연결에 성공해야 합니다.
  13. 대상 Active Directory 속성의 속성 이름을 Cloud Directory의 특정 속성에 맵핑하십시오.
    대상에서 업데이트해야 할 속성에 대한 값을 계속 업데이트 선택란을 선택하십시오.
  14. ‘계정 동기화’ 탭을 선택하세요.
  15. Verify‘적용 정책 ’ 섹션에서, 계정 동기화 프로세스가 Active Directory 계정을 해당 계정 소유자에게 할당하기 위해 일치해야 하는 하나 이상의 속성 쌍을 추가하십시오.
  16. '시정 조치 정책' 섹션에서 시정 조치 정책을 선택하여 규정 미준수 계정을 수동으로 시정하십시오.
  17. ‘저장’을 클릭하세요.
  18. 애플리케이션을 저장한 후, ‘권한’ 탭에서 프로비저닝 옵션을 지정하십시오.
    참고:

    recon 실패 임계값은 기본적으로 15%로 설정됩니다. 이를 통해 연속적인 계정 동기화 간에 15% 이상의 계정이 삭제된 경우 계정 동기화 결과를 버리고 조작이 정지됩니다.

    삭제된 레코드의 백분율이 더 높은 경우(일반적으로 더 작은 데이터 볼륨이 있는 경우-더 작은 데이터 변경은 더 높은 편차율에 기여함), 값을 적절히 조정하십시오. 오류 임계값을 100%으로 설정하면 편차률이 무시되고 계정 동기화 조작이 완료됩니다.

    docker-compose yml 파일의 identity-brokerage 환경 섹션 아래 환경 변수 RECONCILIATION_FAILURETHRESHOLD_VALUE:"100”(0-100 범위의 값)을 추가하여 장애 임계값을 변경할 수 있습니다. 완료되면 컨테이너가 이미 실행 중인 경우 다시 스핀합니다.

    예:

    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"